03/29/2024

Securizare API-uri și aplicații web cu Probely DAST Scanner

Având în vedere că aproximativ o treime din toate încălcările cunoscute sunt rezultatul direct al unui atac de succes al aplicațiilor web, este esențial să testați aplicațiile dvs. web și securitatea API-urilor.

Nu numai că trebuie să vă asigurați că aplicațiile dvs. web sunt securizate din motive de reglementare, dar (ar trebui) să vă pese și de datele clientului dvs. și de expunerea la riscuri pentru compania dvs.

Cu siguranță aveți o mulțime de opțiuni atunci când vine vorba de securizarea aplicațiilor dvs. web, toate cu avantajele și dezavantajele lor. Unele soluții se bazează pe identificarea problemelor de securitate în codul sursă al aplicațiilor dvs. Alții vă protejează aplicațiile împotriva atacurilor. Iar alții se bazează pe testarea dinamică a securității aplicațiilor dvs. web în timpul execuției, la fel cum ar face un hacker.

Accentul acestui articol este pe acest ultim caz, și anume pe Probabil. Ceea ce face ca Probely să fie interesant în comparație cu altele este că abordează două dintre principalele probleme ale scanerelor de vulnerabilitate web: acoperirea scanării aplicațiilor web moderne și calitatea rezultatelor.

Probely are două ediții diferite: una cu autoservire destinată IMM-urilor și alta destinată întreprinderilor sau companiilor cu multe aplicații web și API-uri.

Probely se concentrează pe asigurarea unei acoperiri excepționale în mediile moderne de dezvoltare și pe eliminarea falselor pozitive cu rezultatele Scanării bazate pe dovezi, permițându-vă în același timp să integrați scanarea DAST în ciclul de viață al dezvoltării.

Prea frumos ca sa fie adevarat?

Citiți mai departe pentru a afla mai multe despre analiza mea despre Probely.

Ce face mai exact Probely?

Având în vedere dezvoltatorii și orice dimensiune a afacerii, Probely vă testează aplicațiile și API-urile, scanându-le pentru a găsi probleme de securitate și vulnerabilități. Când testarea este finalizată, oferă îndrumări despre cum să remediați problemele găsite.

Dezvoltatorii și inginerii dvs. de securitate pot lucra cu Probely prin interfața sa intuitivă cu utilizatorul. Dar dacă aveți nevoie de putere și flexibilitate, vă puteți baza pe API-ul lor cu funcții complete, deoarece urmează o abordare de dezvoltare bazată pe API. API-ul lor oferă toate funcțiile pe care le vedeți pe interfața cu utilizatorul, permițându-vă să integrați Probely într-o conductă CI/CD, un instrument de gestionare a vulnerabilităților, un orchestrator sau un instrument de urmărire a problemelor. Dacă le folosiți pe cele populare, este posibil să aveți o integrare de la cutie. Acesta este cazul instrumentelor precum JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI și Slack. Dar dacă v-ați dezvoltat propriul instrument de urmărire a problemelor sau orchestrator, atunci API-ul este calea de urmat.

Acoperire, crawling și precizie

Probely folosește un păianjen de ultimă generație pentru a naviga în aplicațiile Javascript bogate în același mod în care ar face-o un browser normal, rezultând o acoperire excelentă a site-ului, ceea ce este o problemă pentru multe alte instrumente DAST. Acest păianjen este ideal pentru aplicațiile cu o singură pagină, cum ar fi cele bazate pe React sau Angular JS.

  Cum să vă schimbați numele de utilizator pe Reddit

Rețineți că un scaner poate identifica vulnerabilități numai în paginile care au fost găsite. Prin urmare, un păianjen bun este de cea mai mare importanță.

Probely oferă și profiluri de scanare diferite, în funcție de mediul pe care doriți să îl testați. Puteți seta un profil de scanare mai puțin intruziv dacă doriți să scanați mediul de producție. Dacă vă testați mediul QA, puteți seta un profil mai amănunțit pentru scanări mai complete. Testând un mediu de pre-producție, puteți identifica și remedia vulnerabilități înainte de a implementa aplicația în producție.

Raportare

Deși Probely detectează o listă extinsă de vulnerabilități, se concentrează pe raportarea a ceea ce este relevant și fără fals pozitive. Pentru anumite clase de vulnerabilități, oferă dovezi că vulnerabilitatea este reală, economisind timp echipei tale pentru a valida dacă vulnerabilitățile sunt reale și relevante.

Probely oferă raportări extinse din interfață, dar poate, de asemenea, sincroniza informațiile despre vulnerabilități cu un instrument de urmărire a problemelor sau cu un instrument de gestionare a vulnerabilităților, permițându-vă să vă integrați Probely în fluxurile de lucru existente de securitate și dezvoltare.

Probely vă poate testa software-ul împotriva vulnerabilităților, cum ar fi cele enumerate în OWASP TOP 10 și multe altele. De asemenea, vă poate ajuta să obțineți conformitatea prin verificarea cerințelor specifice ale PCI-DSS, GDPR, HIPAA și ISO270-01.

Preluat din raportul OWASP TOP 10, veți avea dintr-o privire ce este greșit în ceea ce privește această conformitate.

Interfață

Interfața este simplă și ușor de navigat, permițându-vă să vă porniți rapid și să rulați. Ediția Enterprise vă permite să controlați utilizatorii, rolurile și să setați roluri personalizate. De asemenea, puteți utiliza etichete pentru a organiza utilizatorii, activele și vulnerabilitățile pentru a gestiona mai bine securitatea aplicației dvs. web. Deoarece toate funcțiile sunt disponibile prin intermediul API-ului, puteți integra cu ușurință Probely în celelalte aplicații și procese de securitate ale întreprinderii.

Dacă utilizați Jira sau Azure Boards, puteți configura Probely pentru a trimite automat toate vulnerabilitățile către instrumentul dvs. de urmărire a problemelor. Când dezvoltatorul remediază și închide problema pe instrumentul de urmărire a problemelor, acesta va declanșa automat o re-testare pe Probely, care va verifica dacă vulnerabilitatea este remediată corect. Dacă nu este, problema este redeschisă pe instrumentul de urmărire a problemelor. Acest lucru permite echipei dvs. de dezvoltare să gestioneze un raport de vulnerabilitate ca orice alt bug, direct pe instrumentul de urmărire a problemelor, fără a utiliza măcar interfața lui Probely. Frumos, nu? 🙂

Pentru început 🚀

În scopurile mele de testare, foloseam ediția Enterprise a lui Probely.

  Capital One va elimina taxele?

De asemenea, oferă o ediție standard și diferite planuri din care să alegeți, inclusiv un plan gratuit. În planul gratuit, scanarea testează doar trei clase de vulnerabilități: semnalizatoare cookie, anteturi de securitate și probleme SSL/TLS. Planul Pro oferă majoritatea funcțiilor și se concentrează pe IMM-urile și organizațiile care au cinci sau mai puține ținte de scanat.

Ediția Enterprise se concentrează pe organizațiile care au un număr mare de ținte și include caracteristici suplimentare, cum ar fi cele care sunt comune în software-ul pentru întreprinderi: utilizatori, grupuri, roluri și permisiuni. De asemenea, vă permite să scanați ținte interne (în rețeaua privată) prin instalarea unui agent furnizat.

Adăugarea unei ținte

Adăugarea unei ținte este ușoară. După ce vă conectați cu contul dvs., trebuie să navigați la pagina Ținte și să faceți clic pe Adăugare. Apoi furnizați un nume, o adresă URL și una sau mai multe etichete – de exemplu, testare, producție, dezvoltare etc. – pentru noua țintă. Pentru a permite Probely să scaneze această țintă ca API autonomă fără o aplicație web compatibilă, ar trebui să verificați opțiunea corespunzătoare pentru a o identifica ca țintă API.

Dacă ținta dvs. nu este expusă pe Internet și ați instalat un agent Probely în rețeaua privată, puteți selecta ce agent să utilizați în timp ce adăugați o țintă.

După adăugarea unei ținte, trebuie să-i validați proprietatea, deoarece Probely are nevoie de dovezi că aveți privilegiile necesare pentru a executa o scanare pe aceasta. Există două metode alternative de validare a țintei: încărcarea unui fișier cu conținut furnizat pe rădăcina țintei sau adăugarea unei intrări TXT la înregistrarea DNS, cu numele domeniului și un conținut specific de înregistrare. Odată validată ținta, sunteți gata să o scanați doar apăsând butonul Scanare.

Puteți verifica progresul și starea unei scanări navigând la fila Scanări din tabloul de bord Probely. Această pagină vă va arăta când a început scanarea și ce a găsit până acum. Constatările sunt colorate în funcție de gravitate, astfel încât să puteți vedea dintr-o privire dacă există probleme critice care trebuie rezolvate imediat.

Dacă site-ul dvs. are o pagină de conectare și doriți ca Probely să efectueze o scanare în spatele acestuia, trebuie să furnizați acreditări care să îi permită să acceseze cu crawlere site-ul ca utilizator autentificat. Probely acceptă majoritatea metodelor de autentificare pentru paginile de conectare.

Scanarea unui API

Pentru a scana o țintă API, Probely are nevoie să furnizați schema acesteia. Faceți acest lucru atunci când adăugați o țintă API, fie furnizând adresa URL a schemei OpenAPI, fie încărcând schema dacă ați salvat-o anterior ca fișier local. Opțiunea URL îi permite lui Probely să preia schema înainte de fiecare scanare, asigurându-se că funcționează întotdeauna cu cea mai recentă versiune a schemei dvs.

Există, de asemenea, diferite opțiuni în ceea ce privește metodele de autentificare pentru accesul API. Probely acceptă nu numai jetoane statice, ci și permite configurarea dinamică a autentificării la scanarea API-urilor. Puteți configura un punct final de conectare în care Probely poate obține un jeton de autentificare sau puteți seta un antet personalizat cu o cheie API fixă ​​în el. De asemenea, puteți furniza valori ale parametrilor personalizați pe care Probely le va folosi pentru cei găsiți în schemă.

  Ce este o temperatură GPU normală bună pentru jocuri?

După ce ați terminat de configurat autentificarea și parametrii API, puteți începe scanarea apăsând butonul Scanează acum. După câteva secunde, veți putea urmări progresul scanării pe aceeași pagină de scanare. Când scanarea se termină, puteți descărca un raport de acoperire care arată toate punctele finale găsite și fiecare cod de răspuns. Acest raport va spune, de asemenea, dacă au existat puncte finale defectuoase.

Verificarea constatărilor dvs

Pagina de constatări arată rezultatele scanării imediat ce sunt găsite, chiar și atunci când scanările sunt în curs. Fiecare constatare afișează o gravitate (înaltă, medie sau scăzută), ținta și adresa URL corespunzătoare, descrierea constatării, ora și data la care a fost găsită, starea sa (fixă sau nefixată) și destinatarul și dacă afectează PCI- Conformitate DSS sau OWASP.

Pe lângă faptul că vă ține informat despre vulnerabilitățile detectate, pagina de constatări este, de asemenea, utilă pentru a atribui vulnerabilități echipei dumneavoastră pentru a le remedia. Pentru a face acest lucru, faceți clic pe caseta de selectare din stânga și selectați cesionarul dintr-un meniu derulant.

Probely oferă, de asemenea, informații despre cum să remediați vulnerabilitățile care au fost găsite. Împreună cu aceste instrucțiuni, puteți vedea cererea și răspunsul complet, precum și dovezile.

Pe pagina Tabloul de bord, puteți vedea diverse diagrame care rezumă riscul de securitate al țintelor scanate. Graficele arată tendințe în diferite valori interesante, cum ar fi scorurile de risc, timpul mediu de rezolvare a problemelor și nivelurile de severitate. De asemenea, puteți arunca o privire spre site-urile care necesită cea mai mare atenție și un top 5 al vulnerabilităților cu cea mai mare incidență.

În cele din urmă, pe pagina de integrări, puteți configura Probely pentru a se integra cu multe instrumente diferite pentru a gestiona proiecte, comunicarea în echipă, urmărirea problemelor și multe altele. Integrațiile disponibile includ Azure Boards, DefectDojo, Slack, Jira, Jenkins și CircleCI.

Un instrument pentru dezvoltatori și echipe de securitate

Pentru echipele de dezvoltare agile, time-to-market este o prioritate de top. Orice puteți face pentru a minimiza timpul necesar ca software-ul dumneavoastră să intre în producție fără a compromite calitatea este binevenit. Probely oferă exact asta – o modalitate rentabilă de a îmbunătăți securitatea site-urilor web și a API-urilor, ajutându-vă să vă respectați promisiunile legate de program și să livrați produse software de înaltă calitate.

Pentru echipele de securitate, Probely vă oferă o platformă pentru a vă securiza aplicațiile web și pentru a gestiona vulnerabilitățile care necesită remediere. De asemenea, vă permite să descărcați unele dintre testele de securitate direct către echipele de dezvoltare, având în același timp un rol de supraveghere.

Probely oferă teste gratuite, licențe de evaluare a întreprinderilor și demonstrații de produse. a lua legatura Probabil pentru a incepe.